proszę o sprawdzenie - atak wirusa i trojana

**Posty:** 3091 · przez **Reveler** 21 Lis 2006, 17:44

Witam!
Prosiłbym o sprawdzenie loga w poszukiwaniu pozostałości po wirusie i trojanie..
Dzisiaj kiedy włączyłem komputer dziwnie chodziła klawiatura tzn. same wciskały sie klawisze [Esc], [W] oraz [Enter] z klawiatury numerycznej - z tym że były pomieszane (wciskając [Ecs] pisało "W").. Z początku myślałem że to zwarcie klawiatury, więc ją odpiąłem i było OK.. Na wszelki wypadek jednak przeskanowałem dysk Avastem no i wykryło..

- Win 32: Kuang2 (Virus)

port 25: Ajan, Antigen, Email Password Sender - EPS, EPS II, Gip, Gris, Happy99, Hpteam
mail, I love you, Kuang2, Magic Horse, MBT (Mail Bombing Trojan), Moscow Email trojan,
Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC.

port 17300: Kuang2 the virus

port 30999: Kuang2

- Win 32: Trojano-2539 (Trj)

Na temat tego nie znalazłem informacji..

Nie wiem jak przeszły, ale prawdopodobnie z uwagi na miejsce gdzie były znalezione (partycje E:\ i F:\ to ściągneły się przez przeglądarkę - gdyż na te partycje ściągam rzeczy ze stronek)..

Po skanie Avastem w podsumowaniu pojawiły sie informacje że niektóre pliki nie dało sie usunąć, dlatego też założyłem temat..

Tak wygląda wynik skanowania Avastem..

Po nim przeskanowałem dyski Ewido ale nie wykrył nic prócz TrackingCookies (które już usunąłem)..

Oto log z HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 16:18:15, on 2006-11-21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\aswUpdSv.exe
F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashServ.exe
F:\MaiNsaIl\PROOFE~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
F:\MaiNsaIl\ProofEsionaL\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
F:\MaiNsaIl\ProofEsionaL\PeerGuardian2\pg2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\MaiNsaIl\ProofEsionaL\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashMaiSv.exe
F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashWebSv.exe
F:\MaiNsaIl\ProofEsionaL\Konnekt\konnekt.exe
F:\MaiNsaIl\ProofEsionaL\Winamp\winamp.exe
D:\ewido anti-spyware 4.0\guard.exe
D:\AnalogX\PortBlocker\pblock.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\MaiNsaIl\ProofEsionaL\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avast!] F:\MaiNsaIl\PROOFE~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] F:\MaiNsaIl\ProofEsionaL\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] F:\MaiNsaIl\ProofEsionaL\PeerGuardian2\pg2.exe
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MaiNsaIl\PROOFE~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9090417-A52A-4143-96DE-E8C6591F7D7E}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\MaiNsaIl\ProofEsionaL\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mam jeszcze jedno pytanie..

Znacie jakiś dobry program do blokady portów?

Szukałem na forum pod hasłami "blokada portów" oraz "blokowanie portów" zaznaczając rózne sposoby szukania (tematy/posty/wszystko/każde oddzielnie) i nic konkretnego nie znalazło..
Tzn znalazło, ale program blokował tylko 5 najważniejszych portów systemu..

Ja zaś bym chciał taki co ma albo wszystki porty i moge zaznaczyć który ma blokowac i w jaki sposób.. Albo samemu móc wpisać jaki port ma miec blokade..

Za pomoc dziękuję!

przez **Tom@szek** 21 Lis 2006, 17:53

Log jest czysty.
Zamykanie portów:
http://www.firewallleaktester.com/tools/wwdc.exe

**Posty:** 3091 · przez **Reveler** 21 Lis 2006, 18:03

Tom@szek napisał(a):Zamykanie portów:
http://www.firewallleaktester.com/tools/wwdc.exe

No właśnie ten znalazłem, tyle że tam jest tylko 5.. I to wystarczy?
Bo po boku są udostępnione moje..

A i czy te pięc na głównej można spokojnie wziąść na Disabled?

**Posty:** 8694 · przez **Red** 21 Lis 2006, 18:12

Reveler napisał(a):A i czy te pięc na głównej można spokojnie wziąść na Disabled?

oczywiście i pamietaj ze wszystko tam jest odwracalne

ps
a avast nic wielkiego nie znalazł

**Posty:** 3091 · przez **Reveler** 21 Lis 2006, 21:21

Znów zapodaję log lecz tym razem dwa, gdyż znów zaczeły sie fochy z klawiatura tzn nie ma literki "W" lub sama sie wciska..

Podejrzewam że ma to jakiś związek z Hamachi, gdyż wczoraj grałem przez niego z kolegami w NFS U2 i Quake3 i rano były fochy.. Jakąś godzinę temu tez grałem i teraz są fochy..

Jeśli nic nie znajdzie w logu, a zaraz przeskanuje znów Avastem, to już nie wiem co robić.. :roll:

HiJackThis

Logfile of HijackThis v1.99.1
Scan saved at 19:42:45, on 2006-11-21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\aswUpdSv.exe
F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashServ.exe
F:\MaiNsaIl\PROOFE~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
F:\MaiNsaIl\ProofEsionaL\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
F:\MaiNsaIl\ProofEsionaL\PeerGuardian2\pg2.exe
D:\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\MaiNsaIl\ProofEsionaL\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashMaiSv.exe
F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashWebSv.exe
F:\MaiNsaIl\ProofEsionaL\Konnekt\konnekt.exe
F:\MaiNsaIl\ProofEsionaL\Winamp\winamp.exe
C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\MaiNsaIl\ProofEsionaL\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avast!] F:\MaiNsaIl\PROOFE~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] F:\MaiNsaIl\ProofEsionaL\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] F:\MaiNsaIl\ProofEsionaL\PeerGuardian2\pg2.exe
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MaiNsaIl\PROOFE~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9090417-A52A-4143-96DE-E8C6591F7D7E}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\MaiNsaIl\ProofEsionaL\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

SillentRunners

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"PeerGuardian" = "F:\MaiNsaIl\ProofEsionaL\PeerGuardian2\pg2.exe" ["Methlabs"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "F:\MaiNsaIl\PROOFE~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"WinampAgent" = "F:\MaiNsaIl\ProofEsionaL\Winamp\winampa.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\WinRAR\rarext.dll" [null data]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "F:\MaiNsaIl\PROOFE~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "D:\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "D:\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "D:\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\MaiNsaIl\ProofEsionaL\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Badanie"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "F:\MaiNsaIl\PROOFE~1\MICROS~1\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Badanie"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = (no title provided)
-> {HKLM...CLSID} = "Search Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
avast! Antivirus, avast! Antivirus, ""F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""F:\MaiNsaIl\ProofEsionaL\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "D:\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."]
Machine Debug Manager, MDM, ""C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
StarWind iSCSI Service, StarWindService, "F:\MaiNsaIl\ProofEsionaL\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

----------
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 48 seconds.
---------- (total run time: 138 seconds)

przez **Tom@szek** 21 Lis 2006, 22:30

HJ czysty.

Autor postu otrzymał pochwałę

**Posty:** 3091 · przez **Reveler** 21 Lis 2006, 23:33

Hmm.. no więc Avast skończył skan, no i nie tyle co nowe przyszły co pozostałości po pierwszym skanie dają po sobie znać.. W pierwszym nie szło usunąć dwóch plików należących do wirusa Kuang2..

Teraz jak chciałem dać do kwarantanny to tez sie nie da..

Jak usunąć te pliki? Bo na E: nie mam żadnego folderu System Volume Information zaś opcje mam ustawione by pokazywało foldery ukryte i systemowe..

przez **Tom@szek** 21 Lis 2006, 23:36

Nie wyłączyłeś przywracania systemu na wszystkich dyskach. :?:

**Posty:** 18165 · przez **wojtas** 21 Lis 2006, 23:37

wylacz i wlacz przywracanie systemu

**Posty:** 3091 · przez **Reveler** 21 Lis 2006, 23:45

wojtas19162 napisał(a):wylacz i wlacz przywracanie systemu

No dobra narazie wyłączyłem.. Tylko nie bardzo rozumiem co to daje tzn. automatycznie już sie usunęło czy mam raz jeszcze przeskanować dysk i wtedy mi wyrzuci?

**Posty:** 18165 · przez **wojtas** 21 Lis 2006, 23:50

wylaczenie i wlaczenie przywracania kasujesz pliki
System Volume Information

Autor postu otrzymał pochwałę

**Posty:** 3091 · przez **Reveler** 22 Lis 2006, 00:14

Tak tyle że nie idzie usunąć niczego z owego folderu..

Próbowałem z:
- wyłączonym przywracaniem systemu;
- włączonym przywracaniem systemu;
- w trybie awaryjnym;
- ze zmienionymi opcjami folderów;

Co teraz?

Dodam że teraz nie mogę wogle do niego wejść, a kiedyś mogłem jeśli mnie pamięć nie myli..

przez **Tom@szek** 22 Lis 2006, 00:16

http://support.microsoft.com/kb/309531/PL/

Autor postu otrzymał pochwałę

**Posty:** 3091 · przez **Reveler** 22 Lis 2006, 00:34

Dzięki już usunięte..

proszę o sprawdzenie - atak wirusa i trojana

proszę o sprawdzenie - atak wirusa i trojana

Kto jest na forum